Botnet TDL-4 é quase 'indestrutível'
De acordo com um alerta da Kaspersky Lab, uma nova variante do rootkit TDL chamada TDL-4 já infectou mais de 4,5 milhões de PCs em todo mundo somente nos primeiros três meses de 2011.
Especialistas em segurança da empresa disseram que este é um dos malwares mais tecnologicamente avançados já vistos até hoje. Graças às melhorias trazidas pela geração anterior, o TDL-3, este novo TDL-4 agora tem a capacidade de criar uma botnet que é praticamente “indestrutível”.
Especialistas em segurança da empresa disseram que este é um dos malwares mais tecnologicamente avançados já vistos até hoje. Graças às melhorias trazidas pela geração anterior, o TDL-3, este novo TDL-4 agora tem a capacidade de criar uma botnet que é praticamente “indestrutível”.
O TDL-4 infecta o MBR (setor mestre de inicialização) do disco rígido instalado no PC e permite a execução de códigos antes que o sistema operacional seja inicializado. Isto torna o TDL-4 e os outros malwares baixados por ele invisíveis ao sistema operacional e aos softwares antivírus.
Mas isso não é nada. O que torna o TDL-4 uma ameaça ainda pior é a mudança em sua criptografia e a descentralização da botnet. O novo algoritmo de criptografia usado na conexão entre o centro de controle da botnet e o computador infectado impede que ela seja detectada através da análise de tráfego.
A forma como a descentralização funciona é ainda mais importante. Diferente da botnet Coreflood, já derrubada pelo FBI, a TDL-4 não depende necessariamente de servidores de comando-e-controle que podem incapacitar a botnet caso eles sejam desativados.
Ao invés disso, os criminosos estão usando a rede P2P Kad como uma segunda forma de envio de comandos para os PCs infectados. Se os servidores forem desativados, a botnet continua em operação através da rede Kad.
Outro detalhe é que o TDL-4 infecta plataformas 64 bits e tem seu próprio antivírus. Este antivírus permite que o rootkit elimine quaisquer ameaças que possam atrair a atenção para sua presença.
O que são as botnets
Botnets são redes de computadores infectados controladas por criminosos e usadas para envio de spam, roubo de informações, ataques de negação de serviço (DDoS) e outras atividades criminosas.
O alerta da Kaspersky Lab pode ser visto na íntegra aqui.
Mas isso não é nada. O que torna o TDL-4 uma ameaça ainda pior é a mudança em sua criptografia e a descentralização da botnet. O novo algoritmo de criptografia usado na conexão entre o centro de controle da botnet e o computador infectado impede que ela seja detectada através da análise de tráfego.
A forma como a descentralização funciona é ainda mais importante. Diferente da botnet Coreflood, já derrubada pelo FBI, a TDL-4 não depende necessariamente de servidores de comando-e-controle que podem incapacitar a botnet caso eles sejam desativados.
Ao invés disso, os criminosos estão usando a rede P2P Kad como uma segunda forma de envio de comandos para os PCs infectados. Se os servidores forem desativados, a botnet continua em operação através da rede Kad.
Outro detalhe é que o TDL-4 infecta plataformas 64 bits e tem seu próprio antivírus. Este antivírus permite que o rootkit elimine quaisquer ameaças que possam atrair a atenção para sua presença.
O que são as botnets
Botnets são redes de computadores infectados controladas por criminosos e usadas para envio de spam, roubo de informações, ataques de negação de serviço (DDoS) e outras atividades criminosas.
O alerta da Kaspersky Lab pode ser visto na íntegra aqui.